En el panorama actual se descubren decenas de vulnerabilidades cada día (una media de 50 en 2021), y los atacantes encuentran nuevas e ingeniosas formas de aprovecharlas. Es obvio que desde el sector de la ciberseguridad es necesario igualar los esfuerzos para evitar que estos ataques tengan éxito.
Esta carrera tecnológica ha llevado a innumerables avances y desarrollos en la infraestructura tecnológica de empresas e instituciones, pero no podemos olvidar un factor crítico: las personas, sistemas con cientos de vulnerabilidades conocidas desde el inicio de los tiempos, en su gran mayoría sin corregir.
Según datos recogidos por Proofpoint, un 20% usuarios habría interactuado con correos electrónicos que contenían archivos maliciosos, y otro 12% habría accedido a los enlaces facilitados en dichos correos. Diversas fuentes señalan el porcentaje de fugas de información producidas por empleados entre el 88% y el 95%. Ignorar este factor humano en ciberseguridad supone un enorme riesgo para las organizaciones.
¿Por qué ocurre?
A pesar de que existen infinitas causas y motivaciones por las que una acción humana puede desencadenar un incidente de seguridad, desde un insider que intencionalmente comparte información de la compañía, a un error accidental que deja expuesta la información, el foco de este artículo son aquellos casos en los que existe una intencionalidad por parte de un atacante, pero no por parte de la víctima. Ejemplos más comunes de este tipo de casos son: campañas de phishing, vishing (por teléfono) o smishing (por SMS).
Las técnicas empleadas en este tipo de ataques no han cambiado demasiado con el tiempo. Los mismos métodos que empleaba Frank Abagnale Jr. en los años 60 o Kevin Mitnick entre los 80 y los 90 para llevar a cabo los fraudes que les hicieron famosos, son igual de efectivos hoy en día. Algunos de ellos, como los planteados por Cialdinni, se siguen empleando en marketing y comunicación, e incluso los hemos tratado con anterioridad en el blog.
Si crees que la tecnología puede solucionar tus problemas de seguridad, ni entiendes los problemas ni entiendes la tecnología.
Bruce Schneier
Al conjunto de técnicas y procedimientos empleados para tratar de motivar al usuario para realizar alguna acción en favor de los cibercriminales se le conoce como Ingeniería Social. A pesar de que también se le denomina con otros nombres más artísticos, como “manipulación mental” o “human hacking”, no es más que una aplicación más de la persuasión o el cambio de actitudes.
En este contexto, desde la psicología se plantea el Modelo de Probabilidad de Elaboración (ELM por sus siglas en inglés). El nivel de elaboración de una persona se basa en dos factores: su capacidad para entender el mensaje, y su motivación para hacerlo. Siendo sinceros, al leer el correo electrónico el lunes por la mañana antes del primer café, no tenemos ninguna de las dos cosas.
Los cambios de actitud producidos en un sujeto en alta elaboración se procesan por la llamada “vía central”, y son más profundos y duraderos en el tiempo, pero requieren de argumentos más fuertes para surtir efecto. Por suerte para los cibercriminales, es suficiente con que dure los segundos necesarios para que las víctimas sigan un enlace o introduzcan sus credenciales, por lo que no es necesario que la víctima esté prestando demasiada atención.
Esta combinación de factores hace que un empleado bajo el efecto de factores como el cansancio, el estrés o el sueño sea la víctima perfecta de la ingeniería social. Lo que no quiere decir necesariamente que de estar en perfectas condiciones no podamos caer víctima de las mismas técnicas, pero sí nos hace enormemente vulnerables.
¿Qué podemos hacer al respecto?
Dejando de lado el componente puramente tecnológico, y centrándonos en el humano, tanto empresas como usuarios podemos tomar medidas para tratar de reducir el éxito de estas técnicas de ingeniería social, como realizar campañas de conciencias y formación en la detección de mensajes y actividad fraudulenta u ofrecer vías de denuncia para que los usuarios puedan alertar en caso de detectarla, entre otras.
Como usuarios, también a nivel personal, es importante ser conscientes de nuestra huella digital: la información disponible sobre nosotros mismos en el ciberespacio puede ser utilizada para dirigir con mayor precisión ataques que empleen la ingeniería social.
The post La importancia del factor humano en ciberseguridad appeared first on Think Big.